↑
Можно найти где-то отражение параметров, типа phpinfo и чего-то подобного и отправить себе, но это редкость. Сами куки-то не особо и нужны, XSS позволяет управлять клиентом. Т.е. можно сделать всё что нужно зарание, заложив последовательность действий в скрипт, а браузер жертвы выполнит в момент триггера XSS.